BYOD bajo control: cómo implementar un programa de seguridad móvil para empresas

Esta es una guía para que directores de seguridad de la información CISO sepan cómo diseñar programas de seguridad móvil que  a las amenazas avanzadas de spyware y vigilancia, para toda la empresa

Por qué el móvil es el eslabón más crítico y expuesto de tu empresa

Durante la última década, los smartphones se han convertido silenciosamente en el punto de acceso predeterminado para muchos procesos empresariales clave. Altos ejecutivos aprueban transferencias bancarias desde sus teléfonos, los equipos negocian desde aplicaciones de mensajería cifradas y los empleados confían en los dispositivos móviles para la verificación de identidad, la colaboración y el acceso remoto. Sin embargo, en muchas organizaciones, la seguridad móvil no tiene el mismo nivel de rigor que  se aplica a portátiles, servidores y plataformas en la nube.

Esto resulta en una superficie de ataque en constante expansión, puesta en bandeja de plata para cualquier spyware sofisticado, la recolección de metadatos y el espionaje corporativo. El reto es tanto estructural como técnico. Los ecosistemas móviles están fragmentados, con múltiples sistemas operativos, bases de seguridad específicas para cada proveedor y una proliferación de aplicaciones que difuminan la línea entre el uso personal y profesional.

Las políticas de "trae tu propio dispositivo" (BYOD), aunque atractivas por su costo y comodidad, pueden dejar a los equipos de seguridad con una visibilidad limitada de las  que manejan sus datos más sensibles. Al mismo tiempo, adversarios que van desde grupos criminales a proveedores de vigilancia comercial y actores vinculados al Estado ven cada vez más el móvil como la forma más eficaz de comprometer a las organizaciones, ya sea instalando spyware avanzado o explotando las debilidades del ecosistema de comunicaciones móviles en general.

Para los CISO y responsables de la seguridad, el objetivo no es eliminar el riesgo móvil, pues no es ni realista ni necesario, sino someterlo a la misma gestión disciplinada que otros activos de la empresa. Esto significa comprender dónde encaja el móvil en los flujos de trabajo de la empresa, definir políticas basadas en el riesgo para las diferentes poblaciones de usuarios e implantar controles por capas que asuman que el compromiso es posible y se centren en minimizar el impacto.

En la práctica, implica tomar decisiones sobre los modelos de propiedad de los dispositivos, las herramientas de gestión, los estándares de autenticación y las ventajas y desventajas de la experiencia del usuario que determinarán la forma en que la organización trabaja cada día. Este artículo presenta una práctica para crear o perfeccionar un programa de seguridad móvil empresarial que pueda hacer frente a las amenazas avanzadas sin mermar la productividad. Basándose en las directrices del NIST y CISA y en las lecciones extraídas de las recientes revelaciones sobre spyware al estilo de Pegasus, se centra en controles realistas que las empresas pueden implantar hoy mismo tanto en flotas corporativas como BYOD.

Diseño de controles técnicos escalonados para flotas corporativas y BYOD

El diseño de controles técnicos eficaces para la seguridad móvil comienza con opciones arquitectónicas claras. Las empresas deben decidir cómo gestionarán los dispositivos (propiedad de la empresa, COPE, BYOD), qué nivel de control requieren y cómo aplicarán las normas mínimas en toda esa diversidad.

Para las flotas corporativas, una plataforma moderna de gestión de la movilidad empresarial (EMM) no debería ser negociable pues proporciona el motor de políticas para configurar el cifrado, aplicar bloqueos de pantalla, impedir la carga lateral, gestionar los permisos de las aplicaciones y activar el eliminado remoto. Para los entornos BYOD, la gestión de aplicaciones móviles (MAM) y los contenedores seguros pueden lograr un equilibrio entre la privacidad del usuario y el control corporativo. Un enfoque estratificado debe combinar el refuerzo de la línea de base con una defensa específica contra las amenazas móviles.

En cuanto al sistema operativo, es necesario exigir el cifrado del dispositivo, políticas estrictas de bloqueo de pantalla y parches periódicos; bloquea el acceso a los recursos corporativos de los dispositivos ruteados o con jailbreak. En cuanto a las aplicaciones, crea una lista de nombres de confianza para funciones sensibles como mensajería, conferencias e intercambio de archivos, y utiiza la verificación de aplicaciones para detectar el software inseguro o excesivamente intrusivo antes de que se convierta en estándar. Para los ejecutivos y empleados que mantienen regularmente conversaciones muy delicadas, puede estar justificado un dispositivo seguro especialmente diseñado más allá de lo que pueden ofrecer los controles de aplicaciones estándar. El SecurePhone de Sotera ha sido diseñado específicamente para este caso de uso, ya que ofrece voz y mensajería cifradas con certificación gubernamental en un hardware reforzado diseñado para mantener la privacidad de las comunicaciones confidenciales desde el principio, no como una ocurrencia tardía.

La integración de un agente de defensa frente a amenazas móviles puede proporcionar detección en tiempo de ejecución de malware, conexiones de red peligrosas y comportamientos inusuales indicativos de peligro, complementando las comprobaciones previas a la implantación. Las capas de red e identidad son igualmente importantes. En lugar de confiar únicamente en las VPN, muchas organizaciones están convergiendo hacia arquitecturas de confianza cero que evalúan la postura del dispositivo y el contexto del usuario antes de conceder el acceso a las aplicaciones. Esto significa comprobar las versiones del sistema operativo, el estado de inscripción en EMM y las señales de defensa frente a amenazas móviles en el momento del inicio de sesión y, posteriormente, de forma continua.

Las directrices basadas en estándares como NIST SP 800-124r2 y las recomendaciones más amplias sobre confianza cero de NIST SP 800-207 pueden ayudar a los equipos de seguridad a definir los puntos de control adecuados. Dado que las amenazas móviles suelen comenzar con factores humanos, los controles técnicos también deben apoyar un comportamiento más seguro por defecto. Por ejemplo, imponga la autenticación multifactor basada en FIDO para cuentas de alto valor, eliminando el SMS como segundo factor en línea con las mejores prácticas de comunicaciones móviles de CISA. Configure el correo electrónico y las herramientas de colaboración para advertir a los usuarios cuando los mensajes procedan de fuera de la organización, y dirija los enlaces a través de pasarelas web seguras que puedan detectar infraestructuras de phishing del tipo Pegasus. Con el tiempo, el análisis de la telemetría de estos controles puede revelar qué equipos o zonas geográficas se enfrentan a la mayor cantidad de ataques móviles y dónde se necesita más apoyo.

Integrar prácticas móviles seguras en la cultura corporativa

La arquitectura técnica sólo es eficaz si la organización puede utilizarla de forma coherente. Por eso, los programas de seguridad móvil maduros ponen el mismo énfasis en la gobernanza, el proceso y la cultura. La gobernanza comienza con la asignación de una propiedad clara: normalmente el CISO, apoyado por un grupo de trabajo articulado que incluya los departamentos jurídico, de RR.HH., de cumplimiento normativo, de compras y de apoyo ejecutivo. Este grupo debe definir políticas que cubran la elegibilidad de los dispositivos, el uso aceptable, los protocolos de viaje, la respuesta a incidentes y el acceso de terceros. Los procesos traducen esas políticas en acciones que pueden repetirse.

La incorporación debe garantizar que los nuevos empleados, ejecutivos y contratistas reciban los dispositivos adecuados, se inscriban en EMM o MAM y entiendan lo que se espera de ellos. La gestión de cambios debe abarcar las actualizaciones del sistema operativo y de las aplicaciones, garantizando que se prueban, se despliegan y, en caso necesario, se revierten sin dejar grandes bolsas de dispositivos sin parchear.

Los manuales de respuesta a incidentes deben ser explícitos sobre cómo tratar las sospechas de compromiso móvil: desde los pasos iniciales de contención hasta la comunicación con las personas afectadas y, si es necesario, con los reguladores. La cultura hace que estas prácticas sean sostenibles. Si el personal ve las políticas móviles como obstáculos arbitrarios, encontrará formas de eludirlas; si entienden la conexión entre sus hábitos telefónicos y riesgos como el espionaje corporativo o la exposición normativa, es más probable que se comprometan.

Utilice ejemplos del mundo real -como las infecciones de periodistas y funcionarios por Pegasus, o la explicación de Vodafone sobre cómo el spyware de clase Pegasus puede comprometer silenciosamente los teléfonos de los empleados en esta descripción general de la seguridad de los teléfonos de los empleados, para mostrar que la amenaza es concreta y está evolucionando.

Por último, trata la seguridad móvil como un sistema vivo. Establece métricas como la cobertura de la inscripción a EMM, el tiempo para parchear vulnerabilidades móviles críticas, la adopción de MFA resistente al phishing en móviles y el número de eventos de defensa contra amenazas móviles detectados. Informa periódicamente de estos datos a la junta directiva, junto con los KPI cibernéticos tradicionales, y utilízalos para impulsar mejorar constantemente. A medida que los conjuntos de herramientas dirigidos a los teléfonos se vuelven más sofisticados y más ampliamente disponibles, las empresas que ya han normalizado una fuerte higiene móvil, defensas en capas y una clara propiedad ejecutiva estarán mucho mejor posicionadas que aquellas que todavía tratan los teléfonos como una idea tardía.